Обеспечение безопасности в Windows Vista

--> Дата: Фев 18, 2008 43

Вопросы безопасности уже давно стали ключевыми в плане практического применения информационных технологий. Правда, тут нужно отметить, что само понятие “безопасности” применительно к ИТ трактуется зачастую односторонне, в зависимости от профиля конкретного поставщика: вся проблема сводится то к обеспечению бесперебойного питания, то к копированию данных, то к антивирусной защите, то к правильному подбору кадров… На самом деле, если под ИТ-безопасностью понимать задачу предотвращения нанесения какого-либо ущерба деятельности предприятия (или частного лица) со стороны ИТ, то, конечно, становится очевидной многогранность данной проблемы — фактически любые аспекты ИТ имеют к ней отношение.

Разумеется, основная тяжесть обеспечения безопасности ложится на платформенные технологии, и поэтому вполне понятен интерес ИТ-сообщества к решению вопросов безопасности в настольной ОС нового поколения Windows Vista, которую Microsoft (http://www.microsoft.com) выпустила на рынок в начале этого года. Ведь речь фактически идет о замене (по крайней мере в перспективе) всей клиентской платформы подавляющего числа ИТ-пользователей, как корпоративных, так и индивидуальных.

Тезис самой Microsoft о том, что Windows Vista — самая безопасная ОС за всю четвертьвековую историю Windows, конечно, очевиден; было бы странно, если бы его не было. Вопрос на самом деле заключается в другом: сколь значителен был шаг в направлении улучшения защиты системы, адекватен ли он возрастающему уровню угроз (рис. 1)?

Рис. 1. Оценка уровня угроз заказчиками. Источник: Jupiter Research Report, 2004.

Уверенный ответ на этот вопрос можно будет дать только некоторое время спустя, после определенного периода применения Windows Vista широким кругом пользователей в условиях реальной эксплуатации. А пока давайте посмотрим, как сама Microsoft видит проблемы обеспечения безопасности в своей новой ОС.

Четыре аспекта безопасности

Все вопросы безопасности в Vista корпорация Microsoft делит на четыре основные группы:

базовые технологии;
уменьшение угроз и уязвимостей;
идентификация и управление доступом;
защита информации.

Базовые технологии

Как неоднократно заявляла Microsoft, Windows Vista разрабатывалась таким образом, чтобы обеспечить надежную защиту от уже известных, а также появляющихся угроз. Реализация этой идеи состояла в том, что процесс создания Vista шел на базе “безопасного” цикла разработки (Security Development Lifecycle, SDL), который был нацелен на минимизацию числа ошибок, касающихся безопасности, в исходном коде системы. SDL объединяет все этапы разработки ПО (проектирование, кодирование и тестирование) и включает следующие основные моменты:

обязательные регулярные тренинги разработчиков по вопросам безопасности;
назначение советников по безопасности для каждого компонента ПО;
моделирование угроз как часть фазы проектирования;
обзоры безопасности и тестирование по плану;
индикаторы эффективности безопасности для групп разработки.

Серьезные изменения были сделаны в технологическом плане, в том числе на уровне архитектуры и ядра. Тут в первую очередь нужно отметить укрепление Windows-сервисов, что подразумевает профилирование сервисов для работы с сетью, файловой системой и реестром; запуск по умолчанию сервисов с меньшими привилегиями, чем в Windows XP; блокировку попыток вредоносного ПО осуществлять действия от имени сервисов.

Правда, некоторые принципиальные инновации будут, судя по всему, доступны только для 64-разрядных версий. Среди таких стоит отметить функцию PatchGuard, которая обеспечивает мониторинг изменений таблиц сервисов и дескрипторов ядра системы, и требование наличия цифровой подписи у любого модуля или драйвера уровня ядра (Mandatory Kernel Mode & Driver Signing).

Уменьшение угроз и уязвимостей

Значительная часть угроз и уязвимостей связана с использованием Интернета и потому решается в новом браузере Internet Explorer 7*. Эта проблема включает два аспекта: во-первых, защиту от социальной инженерии (фишинг-фильтр, уведомление о небезопасных установках, умолчания для International Domain Names и т. п.), во-вторых, защиту от проникновений (унифицированный разбор URL, улучшение качества кода, технология ActiveX Opt-in, поддержка защищенного режима и т. п.).

* Подробнее об этом см. статью “Internet Explorer 7 готов отстаивать свои позиции” («BYTE/Россия» № 10’2006).

В Vista впервые в истории Windows включены интегрированные средства защиты от внешних угроз (раньше эти задачи решались в основном за счет продуктов третьих фирм). В этой связи стоит прежде всего сказать о Windows Defender, предназначенном для защиты компьютеров от шпионского ПО (spyware), а также о Microsoft OneCare — для защиты от вирусов и других угроз. Правда, OneCare в состав Windows Vista не входит, он доступен в виде отдельной платной подписки.

В ОС включен также обновленный сетевой экран Windows Firewall, которые должен обеспечить безопасный доступ к сети, в том числе за счет аутентификации и авторизации всех соединений, использования защищенных протоколов работы (DHCP, VPN, IPsec, 802.1X) и доступа на базе политик, конфигурируемых системными администраторами.

Идентификация и управление доступом

Здесь в первую очередь нужно отметить использование механизма User Account Control (контроль за правами пользователей), который должен повысить безопасность в условиях применения расширенных полномочий при работе с бизнес-приложениями и при выполнении задач конфигурирования ОС. Так, когда пользователь или запущенное им приложение собираются выполнить действие, не входящее в список полномочий учетной записи «Стандартный пользователь», система запрашивает у пользователя подтверждение этого действия, если пользователь имеет учетную запись «Администратор» (рис. 2), либо пароль администратора, если пользователь — «Стандартный». К числу действий, не входящих в полномочия “Стандартного пользователя”, относятся инсталляция приложений и драйверов, создание файлов в системных директориях, изменение каких-либо настроек системы и т. д.

Рис. 2. Запрос на подтверждение действий пользователя с учетной записью «Администратор».

Аудит системы улучшен за счет более высокой детализации параметров управления, использования большого количества подкатегорий. В Vista применяется также новая архитектура аутентификации, которая, в частности, позволяет работать с различными биометрическими устройствами и одноразовыми паролями, снижая при этом затраты на кодирование. Модифицирован механизм применения смарт-карт в режиме plug and play (соответствующие драйверы и Certificate Service Provider включены в комплект ОС).

Защита информации

Главное новшество Vista — механизм шифрования диска BitLocker Drive Encryption. Он должен защитить данные от неавторизованных пользователей и похитителей. При этом возможны разные варианты хранения ключей: TPM-чип, USB Flash, PIN-код, а также различные их комбинации.

Для поддержки политик безопасности при распространении документов предлагается модернизированный механизм управления правами доступа к информации (Information rights management).

Опора на средства третьих фирм

В целом стратегия развития и продвижения Windows (да и другого ПО Microsoft) всегда исходила из принципиальной возможности усилить функциональность системы за счет дополнительных средств третьих фирм. Фактически Microsoft всегда обеспечивала некоторый средний уровень функций и сервисов, необходимых массовому потребителю, предоставляя независимым разработчикам создавать собственные продукты для более изощренных и требовательных пользователей.

Сделанное два года назад объявление о том, что корпорация намерена выпустить решения Windows Defender и OneCare, еще тогда вызвало заметное смятение среди традиционных поставщиков антивирусного ПО: не означает ли этот шаг, что Microsoft решила всерьез составить им конкуренцию в данной сфере? Эти опасения возрастали по мере приближения сроков выпуска Windows Vista и уточнения входящих в ее состав средств обеспечения безопасности. В результате прошлой осенью в специализированных западных СМИ появилось даже сенсационное сообщение о том, что новая ОС настолько хорошо защищена, что просто не нуждается в дополнительном антивирусном ПО.

Однако сами представители Microsoft оперативно внесли ясность в данный вопрос. Так, вице-президент корпорации и руководитель департамента технологий безопасности Бэн Фати заявил: “Хотя новая Vista является самой безопасной операционной системой, наши партнеры продолжают играть здесь важнейшую роль, обеспечивая дополнительные уровни защиты для этой платформы”. Представители Microsoft неоднократно подчеркивали, что в процессе разработки новой ОС корпорация тесно сотрудничала с партнерами, специализирующимися на продуктах по безопасности (в том числе и с российскими). Взаимодействие с ними выражалось в предоставлении ресурсов технической помощи, доступа к лабораториям тестирования приложений и проверки их на совместимость, а также в участии представителей Microsoft в тренингах для разработчиков и программах сертификации.

К моменту официального выхода Windows Vista в розничную продажу по всему миру ряд независимых разработчиков ПО объявил о готовности представить свои решения безопасности для работы с этой ОС, в том числе для домашних пользователей и малого бизнеса. Коротко охарактеризуем основные из этих продуктов.

Антивирус Anti-Virus 2007 компании CA (http://www.ca.com) обеспечивает защиту от вирусов, вредоносных червей и троянских программ, которые способны проникать в систему через приложения по электронной почте, загружаемые программы, мгновенные сообщения и просто во время работы в Интернете.

ContentWatch (http://www.contentwatch.com) поставляет ПО для фильтрации данных из Интернета с помощью таких функций, как проверка авторства, контекстуальный анализ содержания Интернет-страниц в режиме реального времени, мониторинг и отчетность, управление временем и управление мгновенными сообщениями. С помощью этих средств родители смогут контролировать работу детей в Интернете как с рабочего места, так и в пути.

Grisoft (http://www.grisoft.com) представила (как в коммерческом варианте, так и бесплатно) программы AVG Anti-Virus 7.5 и AVG Anti-Spyware 7.5, а также AVG Anti-Malware 7.5 — многоуровневую систему защиты от вирусов и шпионских программ для ОС Windows Vista.

IMSafer (http://www.imsafer.com) предлагает пользователям новую услугу оповещения родителей, если дети оказываются вовлечены в нежелательное общение в Интернете. С ее помощью можно просматривать отчеты об использовании компьютера детьми через программу родительского контроля на панели управления ПК. Это небольшое приложение можно установить бесплатно.

McAfee (http://www.mcafee.com) представила для домашних пользователей решения VirusScan Plus 2007 и McAfee PC Protection Plus 2007, а также программу McAfee Internet Security Suite 2007, имеющую защиту «8 в 1» при работе с ПК и в Интернете и обеспечивающую идентификацию личности пользователей. Продукт McAfee SiteAdvisor Plus оберегает пользователей от сайтов с повышенным уровнем риска.

Panda Software (http://www.pandasoftware.com) объявила о выходе антивирусного решения Panda Antivirus 2007, системы защиты корпоративных сетей и ПК Panda ClientShield и ПО Panda Internet Security 2007 Identity Protect для защиты конфиденциальных данных и транзакций через Интернет.

PixAlert (http://www.pixalert.com) предлагает решения для аудита и мониторинга изображений. Для Windows Vista компания выпустила усовершенствованное решение SafeScreen, обеспечивающее защиту ПК путем мониторинга изображений в режиме реального времени и блокировки изображений нежелательного содержания из различных источников, включая Интернет, DVD и мобильные телефоны.

SafeBrowse.com (http://www.safebrowse.com) выпустила программу родительского контроля Safe Eyes, которая предоставляет широкий спектр настраиваемых функций для Windows Vista, включая контроль за содержанием, ограничения по времени и мониторинг мгновенных сообщений.

Symantec (http://www.symantec.com) объявила о выпуске решения безопасности Norton Confidential, а также о том, что решения Norton Internet Security и Norton AntiVirus будут совместимы с Windows Vista начиная с даты выхода ОС.

Программа TrendSecure компании Trend Micro (http://www.trendmicro.com) предназначена для безопасной работы в Интернете и защиты ПК, домашних сетевых ресурсов и данных о пользователе. Набор ее онлайновых сервисов поддерживает защиту при работе как дома, так и в пути. Trend Micro AntiVirus совместно с AntiSpyware обеспечивают защиту от вирусов, вредоносных червей, троянских и шпионских программ.

“Лаборатория Касперского” (http://www.kaspersky.ru) выпустила новые версии продуктов Kaspersky Anti-Virus и Kaspersky Internet Security, в которые вошли новейшие разработки для защиты от вирусов, шпионских программ, спам-рассылок и хакерских атак, а также ежечасные отчеты о возможных атаках вредоносных программ.

Кроме того, после выхода на рынок Windows Vista можно использовать все составляющие онлайнового сервиса Microsoft Windows Live OneCare (http://onecare.live.com) для комплексной защиты Windows Vista от вирусов и шпионских программ в режиме реального времени. Сервис также предполагает помощь пользователям в дополнительной защите и поддержке работы ПК, в том числе резервное копирование данных, активацию антифишинговой защиты (для активации антифишинг-фильтра необходим браузер Internet Explorer 7), автоматические обновления, когда пользователи находятся в Интернете, и управление функциями сетевого экрана.

Достаточен ли уровень защиты Windows Vista?

Нужно сказать, среди ИТ-специалистов бытует представление о том, что степень защищенности Windows не очень высока по сравнению, например, с Linux. В качестве довода обычно приводят сведения о большом числе “прорех”, обнаруживаемых в этой ОС, а также о высоком уровне потерь в результате хакерских или вирусных атак. На самом же деле ситуация несколько иная.

Как признавал еще года четыре назад один высокопоставленный специалист IDC по безопасности, серьезные исследования этой авторитетной компании не обнаруживают принципиальных различий между теми же Windows и Linux в плане числа ошибок, имеющих отношение к безопасности. Большое число обнаруживаемых в Windows ошибок определяется тем простым фактом, что Windows — это на порядок (а в области клиентских систем — на пару порядков) более распространенный продукт, против которого направлены основные усилия “преступного мира” в сфере ИТ*.

* Примерно ту же точку зрения высказывает в своей статье “Безопасность от Microsoft: шаг к обновленному миру?” генеральный директор “Лаборатории Касперского” Наталья Касперская (http://www.kaspersky.ru/reading_room?chapter=207367336).

Один из классических принципов безопасности (не только ИТ!) заключается в том, что нет такой системы защиты, которую нельзя было бы преодолеть, — вопрос только в трудоемкости “взлома”. Соответственно пользователю нужно четко понимать, какой уровень безопасности реализует то или иное средство защиты. С этой точки зрения средства безопасности можно условно разделить на две категории.

Первая — это встроенные ИТ-решения массового применения. Они обеспечивают некоторый средний (на текущий момент времени) уровень безопасности, востребованный “средним” пользователем.

Вторая категория — расширенные технологии, предлагаемые специализированными разработчиками для достижения более высокого уровня безопасности.

Windows — это самый массовый продукт, и вполне понятно, что он включает технологии защиты первой группы. Да, от версии к версии повышается уровень безопасности, появляются функции, которые ранее реализовались лишь за счет специализированных средств, но в общем случае это просто отражает повышение требований массового пользователя к безопасности и не отменяет необходимости в профессиональных технологиях для увеличения степени защиты.

Учитывая это соображение, полезно знать естественные ограничения встроенных технологий безопасности Windows Vista, чтобы осознавать, каков уровень реализуемой ими безопасности, и в случае необходимости применять дополнительные, расширенные средства. И в этом плане стоит ознакомиться с точкой зрения различных экспертов в области безопасности. Ниже мы приведем некоторые соображения по поводу главных составляющих системы безопасности Windows Vista**, представленные на информационном сайте “Лаборатории Касперского” (http://www.viruslist.com).

** Подробнее см. статью Алисы Шевченко “Microsoft Vista против вирусов: кто кого?” (http://www.viruslist.com/ru/analysis?pubid=204007521).

User Account Control (UAC). Упрощенно можно сказать, что данный механизм разграничения прав пользователей запрашивает у пользователя подтверждение выполнения операций, которые ему (механизму) кажутся подозрительными. Проблема же заключается в том, что одни и те же системные операции в зависимости от конкретного контекста могут быть и вредными, и полезными. Соответственно пользователь может столкнуться с ситуацией, когда он будет постоянно получать предупреждения при нормальной работе приложений, и в результате скорее всего просто отключит эту функцию защиты.

В то же время UAC, безусловно, обеспечивает некоторый дополнительный уровень безопасности для пользователя с правами «Администратора». В частности, если приложение не запрашивает высокого уровня привилегий, то оно будет выполняться с минимальными правами, даже в режиме «Администратора». Уязвимость, обнаруженная в таком приложении, будет менее критична, чем уязвимость в «высокопривилегированном» приложении.

Еще один довод в пользу UAC заключается в том, что существует небольшое количество вирусов, которые засекают появление на экране предупреждения от межсетевого экрана или иной системы защиты о подозрительном поведении — и «нажимают» соответствующую кнопку в окне, разрешая действие. Окно при этом едва ли успевает появиться на экране. Microsoft предусмотрела защиту от этой угрозы — Secure Desktop: окно, запрашивающее повышение привилегий, воспринимает ввод только от пользователя.

PatchGuard обещает реализовать защиту ядра системы (только для 64-разрядных версий) от изменений, что актуально в свете тенденции распространения руткитов уровня ядра***. По мнению экспертов, PatchGuard все же уязвим, хотя бы потому, что существуют документированные способы отключения защиты. Главная же уязвимость этой технологии заключается в том, что код защиты выполняется на одном уровне с кодом, который (и от которого) он призван защищать. Это повышает шансы «нападающей стороны» обойти или отключить PatchGuard. К тому же мониторинг PatchGuard распространяется лишь на статичные структуры ядра с заранее известным содержимым (SST, IDT, GDT), т. е. он не охраняет динамические структуры, равно как и все то, что находится вне уровня ядра.

*** Руткит уровня ядра — вредоносная программа, скрывающая свое присутствие в системе за счет изменения данных ядра, либо набор утилит, позволяющих реализовать такое сокрытие.

Проблема заключается еще и в том, что, запретив доступ к ядру всем, Microsoft лишила независимых разработчиков возможности реализовать в своих средствах безопасности часть функционала, в частности, проактивных технологий защиты от неизвестных угроз.

Mandatory Kernel Mode and Driver Signing поддерживает требование наличия цифровой подписи у любого модуля или драйвера уровня ядра. В случае 32-разрядной версии попытка установки неподписанного драйвера приведет к появлению запроса пользователю (рис. 3), в 64-разрядном варианте установка такого драйвера будет автоматически отменена. Здесь также имеются документированные способы отключения механизма (например, в режиме отладки драйверов).

Рис. 3. Запрос на разрешение установки драйвера.

Общий вывод экспертов “Лаборатории Касперского” можно сформулировать так. Безусловно, Vista существенно безопаснее, чем предыдущие версии Microsoft Windows. Более того, будучи настроена так, чтобы запрещено было все, кроме доступа к определенным сайтам, данная ОС может даже считаться «абсолютно безопасной». Однако для многих пользователей будут неприемлемы значительные ограничения в действиях, а также постоянные запросы подтверждения или пароля для действий, распознанных системой как “потенциально опасные”. В этой связи нужно всегда помнить, что человек — слабейшее звено любой системы безопасности.